CVE-2026-41654

Nome do Software Vulnerável e Versões Afetadas Weblate versões anteriores a 5.17.1

Descrição Um usuário autenticado com a permissão project.add pode importar um arquivo ZIP de backup de projeto especialmente criado. Se o arquivo components/<name>.json dentro do ZIP contiver uma URL repo apontando para um endereço privado ou usar um esquema não permitido (como file:// ou git://), o sistema não a valida. Isso ocorre porque o software utiliza a função Component.objects.bulk create([component])[0], que ignora o método full clean() e o validador validate repo url. Consequentemente, a URL maliciosa é gravada diretamente no arquivo .git/config pela função configure repo(pull=False).

Recomendações Atualize para a versão 5.17.1. Limite o número de usuários que possuem permissão para criar projetos para reduzir o risco de exploração.